一、漏洞详情
PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统(RDBMS),支持Windows、Linux、UNIX、Mac OS X、BSD等多种操作系统。
近日,监测到PostgreSQL中修复了一个代码执行漏洞(CVE-2024-10979)。PostgreSQL多个受影响版本中,当PL/Perl扩展被安装并启用时,由于PL/Perl扩展未能正确控制环境变量,导致非特权数据库用户可以修改敏感的进程环境变量(如PATH),并可能利用该漏洞执行任意代码、获得对数据库服务器的未授权访问权限,或者执行数据窃取、数据篡改或破坏等恶意操作。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻
二、影响范围
PostgreSQL 17 < 17.1
PostgreSQL 16 < 16.5
PostgreSQL 15 < 15.9
PostgreSQL 14 < 14.14
PostgreSQL 13 < 13.17
PostgreSQL 12 < 12.21
三、修复建议
目前该漏洞已经修复,受影响用户可升级到PostgreSQL 17.1、16.5、15.9、14.14、13.17、12.21或更高版本。